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一 种 基于 无 证 书签 密 技术 的 NFC 移动 支付 方案 
柳 六 , 余 洗 


(广东 工业 大 学 计算 机 学 院 ,， 广州 510006) 


摘 要 : 针对 现 有 的 大 部 分 NFC 移动 支付 方案 中 存在 的 证 书 管 理 复杂 、 消 费 者 隐私 保护 力度 不 大 和 运行 效率 不 高 等 问 
题 ， 结 合 无 双 线 性 对 的 无 证 书签 密 技 术 和 匿名 技术 ,提出 了 一 个 高 效 安全 的 NFC 移动 支付 方案 。 该 方案 使 用 动态 更 新 
的 匿名 交易 账户 实现 消费 者 匿名 交易 的 同时 实现 了 交易 的 不 可 链接 性 ， 商 户 作 为 消费 者 和 移动 支付 服务 提供 商 的 通信 
桥梁 ， 实 现 了 消费 者 离线 支付 。 分 析 结 果 表 明 ， 该 方案 提供 了 高 安全 性 交易 和 高 质量 的 个 人 隐私 保护 的 同时 实现 了 高 
效率 的 移动 支付 。 
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NFC mobile payment scheme based on certificateless signcryption technology 


Liu Yi, Yu Hao 
(School of Computer Guangdong University of Technology, Guangzhou 510006, China) 


Abstract: Most of the existing NFC mobile payment schemes have some problems such as complex certificate management, 
low consumer privacy protection and low operating efficiency, using the certificateless signcryption technology without bilinear 
pairing operations and the anonymous technology to propose an efficient and secure NFC mobile payment scheme. The scheme 
uses the dynamically updated anonymous trading account to realize the anonymous transaction of the consumer and the 
unlinkability of the transaction, the merchant acts as a bridge between the consumer and the mobile payment service provider, 
enabling the consumer to pay offline. The result shows that the scheme provides high-security transactions and high-quality 
personal privacy protection as well as high-efficiency mobile payments. 


Key words: certificateless signcryption technology; anonymous technology; near field communication; the offline payment for 


the consumer; secure payment; privacy protection 


移动 支付 过 程 中 ,用 户 最 关心 的 除了 便捷 性 外 就 是 安全 性 ， 
而 现 阶 段 NFC 移动 支付 中 主要 是 使 用 传统 密码 技术 实现 交易 
随 着 智能 移动 终端 的 普及 和 移动 支付 技术 的 快速 发 展 ， 基 。 ” 数据 的 安全 性 和 用 户 的 身份 合法 性 认证 。 此 类 技术 不 仅 运算 量 

于 移动 终端 的 支付 方式 开始 逐渐 取代 传统 支付 方式 刷卡 支付 大， 而 且 基本 都 存在 复杂 的 证 书 管理 和 秘 钥 托管 问题 。 
或 者 现金 支付 等 ) 在 支付 市 场 中 占据 主导 地 位 ， 根 据 Analysys 文献 [利用 无 证 书签 名 技术 和 伪 身 份 技术 实现 了 移动 支 
易 观 发 布 的 《中 国 第 三 方 支付 移动 支付 市 场 季度 监测 报告 2017 ” 付 中 的 身份 认证 和 用 户 隐私 保护 ， 但 该 方案 使 用 的 无 证 书签 名 
FE 第 2 季度 》 数 据 显示 ，2017 年 第 二 季度 ， 中 国 第 三 方 支付 移 。 技术 涉及 到 大 量 的 双 线 对 运算 操作 ， 时 间 开 销 大 。 文 献 [2] 为 
动 支付 市 场 交 易 规模 达 230408.2 亿 元 人 民 币 ,环比 增长 22.50%。 ”NFC 移动 支付 技术 提出 了 一 种 基于 双 线 性 对 运算 操作 的 秘 钥 
其 中 支付 宝 53.70% 的 占有 率 高 居 榜 首 ， 腾 讯 金融 以 39.12% 市 。” 认证 方案 ， 该 方案 在 认证 过 程 中 使 用 了 大 量 的 双 线 性 对 运算 操 
场 份额 紧 随 其 后 。 支 付 宝 和 微 信 支付 所 使 用 的 移动 支付 技术 主 企 ， 增 加 了 认证 时 间 开 销 ， 同 时 由 于 交易 过 程 中 用 户 使 用 的 是 
是 二 维 码 支 付 技术 ， 该 支付 技术 易于 实现 ， 支 付 便捷 ， 但 容 ”真实 身份 ID, 不 能 提供 匿名 支付 功能 ， 用 户 个 人 隐私 得 不 到 有 
易 受 到 虚假 或 恶意 二 维 码 的 攻击 , 安全 性 较 差 。 而 NFC 移动 支 。 效 保护 。 文 献 [5] 使 用 随机 变化 的 匿名 ID 作为 用 户 交 易 的 身份 ， 
付 技 术 具 有 良好 的 保密 性 和 安全 性 ， 即 使 在 手机 没有 电 的 情况 曾 加 了 用 户 交 易 过 程 中 的 隐私 保护 力度 ， 但 该 匿名 ID 是 由 公 
下 依然 可 以 进行 支付 , 因此 NFC 移动 支付 技术 是 未 来 移动 支付 ” 钥 、 私 钥 和 证 书 组 成 ， 存 在 证 书 的 复杂 管理 问题 。 文 献 [6] 给 匿 
技术 中 最 有 前 景 的 支付 手段 之 一 。 名 交易 账户 ID 设 定 了 有 效 期 和 信用 值 ， 实 现 了 用 户 匿名 支付 
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的 同时 也 实现 了 交易 信息 的 不 可 链接 性 ， 极 大 的 提高 了 用 户 的 。” 和 用 户 U, 的 身份 ID, ， 输 出 用 户 的 部 分 私 钥 4。 ， 并 通过 安全 
隐私 安全 ， 但 缺点 是 一 旦 超过 有 效 期 ， 需 要 用 户 自己 重新 申请 。 ”信道 把 4 发 送 给 用 户 U，。 

新 的 匿名 交易 账户 ID 和 虚拟 银行 账户 ID， 便 捷 性 受到 影响 。 c) 生成 秘密 值 。 用 户 UV 选取 个 随机 数 yw 作为 其 秘密 值 。 
文献 [7] 使 用 了 无 双 线 性 对 的 无 证 书签 密 技术 实现 了 移动 支付 d) 生成 私 钥 。 用 户口, 输入 系统 公 钥 mpk 、 用 户 身份 ID,、 
中 用 户 的 身份 认证 ， 极 大 的 提高 了 身份 认证 效率 ， 但 该 方案 的 。 ”部 分 私 钥 d 和 秘密 值 y, ， 输 出 完全 私 钥 s，。 
交易 记录 对 于 发 卡 方 来 讲 是 透明 的 , 且 没 有 实现 用 户 离线 支付 e) 生 成 公 钥 。 用 户 U, 输入 系统 公 钥 mpk 、 用 户 身份 JD,、 
一 且 移 动 终端 没有 网 络 支撑 ， 该 方案 无 法 完成 交易 ， 大 大 限于 部 分 私 钥 & 和 秘密 值 y, ， 输 出 公 钥 PK，。 

了 交易 场所 的 范围 。 文 献 [8] 提 出 了 一 种 基于 NFC 的 用 户 匿 名 f) 签 密 。 输入 系统 参数 params 、 签 密 者 身份 ID,、 接 收 者 
移动 支付 协议 ， 用 户 用 虚拟 账户 和 虚拟 交易 账户 进行 交易 ， 虚 身份 [Ds 、 接 收 者 公 钥 PK 、 签 密 者 公 钥 PK 、 签 密 者 完全 私 
拟 账户 和 虚拟 交易 账户 都 由 用 户 自己 产生 ， 只 有 银行 知道 用 户 。” 钥 s。 和 要 签 密 的 消息 m， 输 出 密 文 c。 


的 真实 身份 , 但 需要 用 户 每 次 交易 完成 后 去 更 新 他 /她 的 虚拟 账 g) 解密 验证 。 输入 系统 参数 params、 签 密 者 身份 ID,、 签 
户 来 实现 交易 的 不 可 链接 性 。 密 者 公 钥 PK,、 接 收 者 身份 [ID, 、 接 收 者 公 钥 PK，、 完 全 私 钥 
在 NFC 通信 技术 基础 上 , 本 文 结合 无 双 线 性 对 操作 运算 的 。 se 和 密 文 ce， 如 果 验 证 通过 ， 则 输出 明文 消息 m， 否 则 输出 无 


无 证 书签 密 技 术 和 匿名 技术 提出 一 个 身份 认证 效率 高 、 隐 私 保 效 消息 。 
护 力 度 大 和 使 用 范围 广 的 NFC 移动 支付 方案 。 a 
国 2 ”支付 框架 模型 


1 ”相关 工作 本 支付 方案 分 为 注册 阶段 和 支付 阶段 ， 注 册 阶 段 分 为 消费 
1.1 NFC 通信 技术 者 注册 和 商户 注册 两 部 分 , 消费 者 注册 部 分 的 参与 方 为 消费 者 、 
NFC (nearfield communication ) 即 近 场 通信 ， 是 由 非 接 触 移动 支付 服务 提供 商 和 可 信 第 三 方 匿名 生成 中 心 ,在 这 部 分 中 ， 
式 射 频 识 别 (RFID) 演变 而 来 ， 是 在 RFID 技术 基础 上 的 一 种 消费 者 在 移动 支付 服务 提供 商 处 注册 使 用 的 匿名 账户 的 合法 性 
扩展 ， 工 作 频 率 为 13.56 MHz， 传 输 距 离 为 10 cmbJ1， 传 输 速度 认证 由 可 信 第 三 方 匿名 生成 中 心 提 供 。 商 户 注册 部 分 的 参与 方 
为 106 kbps、212 kbps 和 424 kbps， 一 次 只 与 一 台 设 备 连 接 ， 为 商户 、 移 动 支付 服务 提供 商 和 实名 认证 中 心 ， 在 这 部 分 中 
使 用 硬件 安全 模块 进行 加 密 ， 因 此 具有 较 好 的 保密 性 和 安全 性 商户 身份 合法 性 认证 由 实名 认证 中 心 提供 。 支 付 阶段 的 参与 方 
19。NFC 有 三 种 工作 模式 : 读 写 器 模式 、 卡 模拟 模式 和 点 对 点 有 消费 者 、 商 户 和 移动 支付 服务 提供 商 ， 消 费 者 和 商户 提供 相 
模式 00。 因 具有 和 良好 的 便捷 性 和 安全 性 ，NFC 技术 现 已 广泛 应 关 信 息 给 移动 支付 服务 提供 商 ， 其 中 消费 者 提供 的 相关 信息 
在 移动 支付 、 电 子 票务 、 服 务 发 现 、 数 据 交换 、 门 禁 系统 和 商户 进行 转发 ,移动 支付 服务 提供 商 提 供 身 份 认 证 和 转账 功能 ， 


| 
公交 系统 等 。 若 本 次 交易 为 大 金额 支付 ， 消 费 者 还 需要 输入 支付 口令 才能 顺 
1.2 无 证 书 公 钥 密 码 技术 利 完成 交易 。 图 1 为 该 方案 的 支付 框架 模型 。 


无 证 书 公 钥 密码 学 概念 是 由 Al-Riyami 和 Paterson 在 2003 
年 的 亚 密 会 上 提出 的 叶 。 与 基于 PKI( 公 和 钥 基 础 设施 ) 的 传统 
公 钥 密码 技术 相 比 ， 无 证 书 公 钥 密 码 技术 和 基于 身份 的 密码 技 
术 一 样 不 需要 公 钥 证 书 ， 消 除了 公 钥 证 书 的 复杂 性 管理 问题 ， 

同时 ， 在 无 证 书 公 钥 密 码 技术 中 ， 秘 钥 生 成 中 心 只 是 负责 生成 
用 户 的 部 分 秘 钥 ， 完 整 的 秘 钥 是 结合 用 户 随机 选取 的 秘密 值 生 
成 的 ， 且 私 钥 由 用 户 秘 密 存放 ， 因 此 秘 钥 生成 中 心 无 法 得 知 用 
户 完整 的 私 钥 , 从 而 克服 了 基于 身份 密码 技术 中 私 钥 托管 问题 。 


E 
Pe 


NFC 连 接 
数据 交换 


可 以 说 ， 无 证 书 公 钥 密码 技术 是 一 种 性 能 优良 、 运 行 效率 高 的 图 1 支付 框架 模型 
公 钥 密码 技术 03。 


3 ”方案 描述 
公 负 密码 技术 分 为 加 密 技术 、 签 名 技术 、 秘 钥 协商 技术 和 万 案 描述 


签 密 技 术 。 其 中 签 密 技 术 由 Zheng0% 提 出 ， 相 对 于 对 消息 进行 。 3.1 初始 化 系统 参数 


独立 的 加 密 和 签名 来 讲 ， 实 现 了 加 密 和 签名 的 同时 降低 了 计算 移动 支付 服务 提供 商 在 自己 的 云 服务 器 上 输入 安全 参数 ， 
成 本 和 通信 开销 。 无 证 书 公 钥 签 密 技术 一 般 由 以 下 七 个 算法 03 ”产生 两 个 大 素数 p 和 gq , 且 p-1 被 4 整除。G 为 椭圆 曲线 上 的 
定义 : 一 个 循环 群 ，p 为 G 上 任意 一 阶 为 g 的 生成 元 。 选 取 3 个 哈 希 

a) 建立 系统 参数 。 KGC 输入 安全 参数 上 ， 输 出 系统 私 钥 函数: 厂 :{01} xG 一 Z;、H:{017 一 一 和 已 :G 一 {01 。 
msk 、 系 统 公 钥 mpk 和 系统 公开 参数 params 。 选取 一 个 随机 数 es Z; 作为 系统 私 钥 并 秘密 保存 在 云 服务 器 


b) 生 成 部 分 私 钥 。KGC 输入 系统 公 钥 jnpk ， 系 统 私 钥 nsk SE 中 ， 计 算 P,=eP 作为 系统 公 钥 。 公 开 系 统 参数 
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(p,q;,P, Ps, Hi,H,, H,) 。 
3.2 ”用户 注册 
3.2.1 消费 者 注册 

消费 者 C 通过 移动 终端 上 的 APP ( 
S 开发 ) 进行 注册 ， 具 体 过 程 如 下 : 

a) 打开 移动 终端 上 的 APP， 输 入 用 


口令 pw、 支付 口令 PIN 码 、 


PPW 、 


移动 支付 服务 提供 


商 


> 2 
户 名 username 、 登 录 


匿名 账户 


AID.(AID。 e{0;1} ) 和 手机 号 码 PN 等 注册 信息 ， 其 中 A1D。 


可 信 第 三 方 匿名 生成 中 心 生 成 ， 作 为 消费 者 在 S 处 注册 使 ) 


的 


唯一 身份 标志 。 计 算 有 (username||1pw)、H(PIN) 和 (ppw)， 
保存 五 (username||1pw) 到 本 地 SE 中 ,把 H(ppw)、AID。 和 PpN 


通过 安全 信道 发 送 给 S。 


b) S 接收 到 C 发 来 的 注册 信息 后 ， 根 据 C 提供 的 手机 号 


码 发 送 短信 验证 码 8MS 给 C, 确认 该 号 码 是 否 有 效 和 本 次 注册 


请 是 否 是 C 本 人 操作 。 
c) C 在 APP 上 输入 短 


言 验证 码 并 发 送 给 S，S 把 接收 到 的 
SMS 与 之 前 发 送 给 C 的 短信 验证 码 相 比 较 ， 如 果 相 同 则 把 


471D.- 通 过 安全 信道 发 送 给 匿名 生成 中 心 进行 身份 合法 性 认证 


否则 发 送 注册 失败 信息 给 C。 
d) 


失败 信息 给 C。 


匿名 生成 中 心 收 到 $ 发 送 过 来 的 A1D。， 在 自己 的 数据 
库 中 进行 查找 ， 若 数据 库 中 存在 该 匿名 账户 ， 则 发 送 身份 确认 
可 执 Confirm。 给 S， 否则 发 送 认 证 失败 信息 给 S, S 再 


发 送 注册 


e) S 对 匿名 生成 中 心 发 送 过 来 的 Confirm.. 进行 辨别 ， 如 果 


是 身份 确认 回执 ， 则 保存 H(ppw) 和 AID, 在 本 bh SE 中 ， 


为 


个 


C 开通 


Vag 


说 


gpY ， 


H 


电子 钱包 ，C 可 以 往 电子 钱包 里 进行 充值 ， 也 可 以 
进行 提现 操作 。 同 时 S 生成 匿名 交易 账户 TAID, e {0,1}” 和 会 话 
且 S 选择 一 个 随机 数 we eZ ， 计 算 R=ncP 和 


D。 = +eH,(A1D.,R) 作为 C 的 部 分 公 铀 和 部 分 私 钥 ， 最 后 

把 生成 的 部 分 密 钥 、 Kgy 和 TAID。 通过 安全 信道 发 送 给 C。 
f) C 收 到 8S 发 送 过 来 的 部 分 密 钥 后 ， 计 算 等 式 

Re + H(AID。,Re)Pws = DeP 是 否 成 立 , 若 成 立 则 接受 部 分 密 钥 


和 7TAID, ;计算 D=H,(H(PIN)) 人 @D。， 


把 p、kEY 和 TAID。 


保存 在 本 地 SE 中 , 同时 删除 五 (PIN)。 否 则 发 送 密 钥 重 


给 S 进行 密 钥 重申 操作 。 
具体 注册 流程 如 图 
出 现 的 符号 ， 其 解析 如 表 1 所 示 。 


C Ss 


{Hppw), A1D,, PNYTLS 


SMS 


SHS 


{AIDYLS 


2 所 示 ， 本 方案 注册 流程 和 支付 流程 中 


1 请 求 


AGC 


{Conf irm,}ILS 


{741D,, KEY, R., DYLS 


图 2 消费 者 注册 流程 
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柳 “ 改 ， 等 : 一 种 基于 无 证 书签 密 技 术 的 NFC 移动 支付 
表 1 方案 中 符号 解析 
标志 描述 
C 消费 者 
M 商户 
S 移动 支付 服务 提供 商 
ppw 支付 口令 
AID. 消费 者 匿名 账户 
IDy 商户 的 真实 身份 
HO 哈 希 函数 
TLS TLS 协议 
SMS 短信 验证 码 
Confirmy X 的 身份 确认 信息 
TAID, 匿名 交易 账户 
Ry X 的 部 分 公 铀 
Dy X 的 部 分 私 钥 
KEY 会 话 密 铀 
AM 商户 注册 验证 码 
AU 实名 认证 中 心 
AGC 匿名 生成 中 心 
Token 商户 的 身份 标志 
m 支付 信息 
(hy,sx) 或 (hssx) X 生成 的 签名 
Cx 或 CY XX 生成 的 密 文 
连接 运算 符 
© 异 或 运算 符 
3.2.2 商户 注册 


商户 M 在 S 的 官方 网 站 上 进行 注册 。 
a) M 在 注册 界 画 


i 中 输入 真实 身份 JID, 、 IMSI 码 、 地 址 


address 、 电 话 号 码 TN 、 电 子 邮箱 ejmail 和 其 他 相关 注册 信息 


Others， 并 通过 安全 信道 发 送 给 S。 
b) Ss 收 到 注册 信息 后 ， 发 送 验证 码 Ajy 给 M。 


c) M 在 验证 码 输入 框 输入 验证 码 ， 发 送 给 S。 

d) S 确认 验 ii 
认证 中 心 AU 进行 身份 合法 性 认证 ， 若 认证 通过 ， 
身份 确认 回执 Confirmy 给 S, 否则 发 送 认证 失败 信 ) 
发 送 注册 失败 信息 给 M。 


E 码 的 正确 性 ， 如 果 正 确 则 将 ID, 发 送 给 实名 


AU 将 发 送 


息 给 S, S 再 


e)S 收 到 身份 确认 开 
Token = H(IDy || IMSI || randy,) e{0,1} ， 


执 Confirm, 


号 ， 


了 


计算 
选取 一 个 随机 数 


randy eZ 。 接 着 随机 选择 一 个 eZ ， 分 别 生 成 M 的 部 分 


公 钥 和 部 分 私 钥 Rj = rwyP， Dy, =rw +eHi(Token,R,)， 


生成 


一 个 会 话 密 钥 kgy ， 最 后 通过 安全 信道 把 部 分 密 钥 、 Kpy 和 


Token 发 送 给 M。 


f) M 收 到 部 分 密 钥 后 ， 验 证 部 分 私 钥 的 正确 性 


下 


\ 体 注册 流程 如 图 3 所 示 。 


， 并 把 部 分 
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{1D,, 1MSI, address, TN, email, Othersl1LS 


{AMITLS 


{AMITLS 


{DILS 


{Confirmy}LS 


{Token, KEY, Ry, Dy)TLS 


图 3 商户 注册 流程 
3.3 身份 认证 
a)C 在 APP 登陆 界面 输入 用 户 名 wsername 和 登录 口令 Ipw 
打开 支付 功能 并 输入 PIN 码 提取 部 分 私 钥 : 
D, = H,(H(PIN)) @D， 同时 提取 KE7 和 741D. 。 接 着 APP 随 
机 选择 产 sZ ， 计 算 CO=rP， 生 成 C 的 完全 私 铀 
SKc =(z,Dc) 。APP 随机 选择 ez， 计算 T=nP， 
hh = Hi(ID,,R,)。 与 此 同时 , M 从 SIM 卡 中 取出 部 分 公 钥 R、 
部 分 私 钥 Dj, 、 KEY 和 Token ， 选 取 一 个 随机 数 eZ， 计算 
Qw =mmP， 生 成 M 的 完全 私 钥 SK, = (nm,Dy)。 接 着 再 次 选取 
一 个 随机 数 ez， 计算 T =P， 有 hh=H(ID,,R,)， 


mh,， 
nm + Dy +hy 


WW =m(Q;+Rs+hPs) ， 密 文 Gy = 本 (VW)@m 和 密 文 


hy = H,(TDy ||Token||m) ,sw = 


{m}KEY 。 


b) C 把 移动 终端 靠近 M 的 POS 终端 接收 M 发 送 过 来 的 
信息 {m}KEY ，C 用 刚才 提取 出 的 Kgy 来 解密 密 文 信息 得 到 支 


元 ， 再 
r-.+ De + 及 
从 本 地 SE 中 取出 S 的 公 钥 PK,=(Q,,R,))， 算 出 
Vi.=K(Q@s+Rs+hPs)， 密 文 C.= 权 (V.)@m， 最 后 把 
{hc,sc,Cce,Q.,TAID,} 发 送 给 M。 

c) M 发 送 C 的 {hi,sc,Ci,Q,TAID.} 和 自身 的 
{hsysCy;Qu;IDy} 给 5S。 

d) S 收 到 M 发 来 的 签 密 信 息 后 ， 在 数据 库 中 查找 TAID。 
对 应 的 AID。 和 1D 对 应 的 Token， 若 存在 则 继续 在 本 地 SE 中 
查找 A1D, 的 部 分 公 钥 R. 和 7D, 的 部 分 公 钥 RR ， 结 合 发 送 过 


付 信 息 m， 计算 .=H,(T AIDi||m)，s。= 


柳 毅 ， 等 : 


= re (Qs, +risP+eH (ID,, Rs)P) 

= 1c(Qs + Rs + hP,,) 

由 上 述 结果 可 以 知道 V =V.， 因 此 m= C。@H,(V,)= 

C。 昌 甩 ,(V.)， 明 文 恢复 成 功 , 同 理 可 得 到 商户 的 明文 。 明文 得 

到 恢复 后 ，S 比较 来 自 消费 者 的 m 和 来 自 商户 的 m 是 否 相 同 ， 

若 相 同 则 对 两 者 进行 身份 认证 操作 ， 否 则 返回 认证 失败 信息 给 

消费 者 和 商户 并 中 断 本 次 交易 。C 的 具体 身份 认证 过 程 如 下 : 
H,(se(Qe + Re+hP,, +heP) NAD lm 


内 ， 
= 万 (一 -一 一 (~P+PmP+PePp+A DAID Im 
i NN h vw ) | | ) 


1c 
ey + DP+h.P)|AID., lm) 
“7H,QePAID. lm) 
= H,(Te | AIDc lm) 
=h 
车 上 式 成 立 , 则 身份 认证 通过 。 同 理 可 认证 商户 M 的 身份 。 
当 两 者 身份 都 得 到 认证 后 ， 则 接受 支付 信息 m。 
3.4 支付 交易 
支付 交易 分 两 种 情况 ， 分 别 是 小 金额 交易 和 大 金额 交易 。 
1) 小 金额 交易 
S 对 消费 者 和 商户 完成 身份 认证 后 ， 将 根据 m 上 的 相关 支 
付 信息 进行 转账 , 若 C 的 电子 钱包 余额 不 足 但 开通 了 银行 快捷 
支付 ， 那 么 消费 者 可 以 选择 使 用 银行 快捷 支付 完成 交易 。 若 电 
子 钱包 和 银行 账户 的 余额 都 不 足 ， 或 消费 者 没有 选择 银行 快捷 
支付 ， 那 么 此 次 交易 失败 ，S 将 发 送 交 易 失败 信息 给 C 和 M。 
2) 大 金额 交易 
S 对 消费 者 和 商户 完成 身份 认证 后 ,发 送 { 有 ,ss,C,} 给 M， 
其 中 CC, 是 支付 口令 请 求 信息 的 密 文 。C 确认 POS 终端 上 的 支 
付 金 额 正确 后 ， 在 POS 终端 上 输入 支付 口令 ppw ， 发 送 
{hy,S%,C%} 给 S， 其 中 CG 是 五 (ppw) 的 密 文 。S 把 收 到 的 
及 (ppw) 与 本 地 SE 中 的 值 对 比 , 车 相同 , 则 执行 与 小 金额 支付 
同样 的 支付 流程 ， 否 则 终止 本 次 交易 ， 并 发 送 交 易 失败 信息 给 
C 和 M。 
3.5 ”交易 完成 
交易 成 功 后 , S 发 送 {0,S%,Cw,hic,S;c,Cii} 给 M, 其 中 
C 是 S 用 M 的 公 钥 加 密 的 支付 成 功 回执 的 密 文 , 而 Ci 是 S 


出 


来 的 QO.,O% 可 以 得 到 C 的 完整 公 钥 PK =(O-,R) 和 M 的 完 
整 公 钥 PK, =(Qy,Ry) 。 接 着 计算 hh=H(AID.,R)， 


jC 的 公 钥 加 密 的 支付 成 功 回执 和 新 的 匿名 交易 账户 TAID. 的 
密 文 。M 收 到 信息 后 , 解密 C, 得 到 支付 成 功 回 执 并 秘密 存储 ， 


Sg 


| 


=sc(ry+D,)(Q-+Re+hP,,t+hiP)， 解 密 Co 得 到 m= 


已 
C。.@@H,(V,)，C. 的 具体 解密 过 程 如 下 : 

Vs = sc(rs + Ds)(Qc + Re 十 用 已 十 jc 六 ) 
二 “中 


导 六 二 DO-P+rP+PeP+P P 
ED eh (re Ev h cP) 


六 
= -二 一 (+DIOP+DP+AP 
sc 区 a 


ro Plr, +D,) 


把 {5S;.,C;.} 发 送 给 用 户 C，C 解密 C\ 得 到 支付 成 功 
执 和 TAID. 并 秘密 存储 到 本 地 SE 中 ， 删 除 旧 的 TA1D. ， 到 此 
整个 交易 结束 。 
L 体 支付 流程 如 图 4 所 示 〈 虚 线 表 示 只 有 大 金额 交易 需要 
执行 的 步骤 ， 实 线 表示 大 金额 交易 和 小 金额 交易 都 必须 要 执行 
的 步骤 )。 


UD 
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= ， s 息 已 存在 于 服务 器 上 ， 则 会 直接 丢弃 此 签 密 信息 ， 因 此 本 方案 
et 可 以 有 效 防护 恶意 商户 的 重 放 攻 击 。 
| 4.4 身份 匿名 性 
C 与 M 交易 时 使 用 的 是 $ 分 发 的 匿名 交易 账户 TAID_， 所 


以 M 和 攻击 者 都 不 能 够 从 中 获取 C 的 真实 身份 ， 除 此 之 外 ，C 


瑟 


Les Sse» Cac) 在 S 中 注册 所 使 用 的 是 匿名 生成 中 心 分 发 的 匿名 账户 A1D。， 
故 S 也 不 知道 消费 者 C 的 真实 身份 , 因此 本 方案 充分 地 实现 了 
图 4 支付 流程 消费 者 匿名 交易 ， 可 以 很 好 地 保护 消费 者 个 人 隐私 。 
4.5 不 可 否认 性 
4 ”安全 性 分 析 


当 交 易 存在 争议 时 ，C 向 S 提供 支付 成 功 回执 和 匿名 账户 
4.1 抵抗 数据 窜改 AID。 和 M 向 S 提供 支付 成 功 回执 和 真实 身份 TD，，S$S 根据 支 
M 和 C 之 间 传输 的 支付 信息 m 通过 会 话 密 钥 Kgy 进行 加 付 回 执 中 的 订单 号 和 交易 时 间 在 服务 器 上 查找 历史 交易 记录 ， 

密 , 没有 在 S 上 注册 的 恶意 用 户 在 没有 获得 正确 KEY 的 情况 下 然后 验证 历史 交易 记录 中 的 交易 金额 和 双方 交易 账户 名 与 支付 
无 法 解密 获得 正确 的 支付 信息 ; 若 C 是 恶意 用 户 ， 企 图 通过 修 ”回执 中 的 是 否 一 致 ， 若 都 一 致 ， 说 明 交 易 正 常 ， 若 有 其 中 一 项 
改 支 付 信息 m 来 实现 不 正当 交易 ， 假 设 修改 后 的 支付 信息 不 同 ， 则 说 明 交 易 存 在 异常 。 若 两 者 有 一 方 试 图 否认 本 次 蜡 ' 
m ， 因 S 在 进行 用 户 身份 认证 之 前 会 先 比 较 来 自 C 的 支付 交易 ， 但 因 历史 交易 记录 中 保存 有 双方 的 签名 ， 因 此 不 存在 否 
息 jx 和 来 自 M 的 支付 信息 m， 一 旦 发 现 jz ym ， 则 证 明 支 人 认 成 功 。 

言 息 被 恶意 窜改 ，S 将 终止 本 次 交易 ; 若 M 是 恶意 用 户 ， 在 # 4.6 不 可 链接 性 

入 支付 口令 阶段 , C 可 以 在 商户 的 POS 终端 上 确认 S 发 送 过 C 与 M 进行 交易 时 使 用 的 匿名 交易 账户 TAID, 在 每 次 交 
的 支付 金额 是 否 合理 ， 一 旦 发 现 支 付 金额 有 误 ， 则 可 以 直接 j 易 完 成 之 后 ， 都 会 进行 更 新 ， 即 实现 了 一 次 一 户 ， 即 使 C 在 同 
绝 在 POS 终端 上 输入 支付 口令 , 终止 本 次 交易 ; 假设 攻击 者 1 家 商店 购买 同样 的 商品 ， 因 交易 时 C 使 用 的 TAID, 每 次 都 不 
充 S 接收 签 密 信息 , 试图 修改 支付 信息 m 来 破坏 本 次 交易 ， 一 样 , 因此 M 想 获取 C 的 真实 身份 是 困难 的 。 同时 ， 因 每 次 交 


I 


球 


lk 


ey 


党 


举 


TOL 


Ba 


攻击 者 无 法 获得 S 的 私 钥 , 故 无 法 解密 获得 正确 的 支付 信息 m， 易 时 TAID, 的 不 同 ，M 无 法 把 每 次 购买 的 商品 信息 与 真正 的 C 
即 无 法 对 支付 信息 m 进行 修改 。 相关 联 ， 因 此 M 企图 利用 商品 属性 推断 出 C 的 职业 、 兴 趣 爱 
4.2 抵抗 假冒 攻击 好 或 者 健康 状况 等 相关 个 人 隐私 信息 是 困难 的 。 同 理 ， 即 使 在 


假设 攻击 者 试图 利用 C 的 账户 进行 非法 交易 ， 因 为 攻击 者 。” M 与 $ 之 间 传 输 的 加 密 信息 被 攻击 者 暴力 破解 了 , 攻击 者 也 无 
无 法 得 到 C 的 手机 ,而 C 的 部 分 私 钥 D。 只 存储 在 C 的 手机 中 ， 法 推断 出 C 的 相关 个 人 隐私 信息 ， 实 现 了 交易 的 不 可 链接 性 ， 
所 以 攻击 者 无 法 获得 正确 的 D. ,即使 攻击 者 得 到 了 C 的 手机 很 好 的 保护 了 消费 者 的 个 人 隐私 。 

但 因 Dp 是 以 D= 厂 ,(H(PIN))@D, 的 加 密 方式 存储 在 手机 中 ， ”4.7 消费 者 离线 支付 
攻击 者 在 不 知道 C 的 PIN 码 的 情况 下 ， 依 然 无 法 获得 正确 的 C 与 M 的 数据 交换 是 通过 NFC 技术 进行 的 , 而 M 又 作为 


De。 因 此， 攻击 者 试图 通过 使 用 伪造 的 D- 进 行 交易 。 攻 击 者 。 C 和 SS 之 间 的 通信 桥梁 ,因此 C 即使 在 没有 网 络 的 情况 下 依然 
六 顺利 完成 交易 ， 即 实现 了 消费 者 离线 支付 。 
计算 Sr -人 ， 并 通过 M 发 送 给 S，S 把 se 代入 以 下 可 以 顺利 完成 交易 ， 即 实现 了 消费 者 离线 支付 
r+ De +he 表 2 是 本 方案 与 文献 [1.2] 的 安全 性 比较 ， 其 中 Y 立 代表 可 抵抗 ，N 代表 
等 式 进行 身份 认证 : 不 可 抵抗 。 
因 马 2Gc(C- +Re +hP pub +heP) | AIDc lm) 表 2 安全 性 对 比 
安全 属性 ee ; 
< 人 = (P+rcP+hep+h Pl AD, |m) 安全 属 | 文献 [文献 2 本 方案 
ret+ De th 数据 窜改 N Y Y 
=H,(— Ee (P+DP+hPNAD, ma 假冒 攻击 出 和 
re + De th 重 放 攻 击 Y Y Y 
zh 身份 匿名 性 Y N Y 
故 身 份 认证 失败 ， 交 易 终 止 。 可 否认 全 Y Y Y 
4.3 抵抗 重 放 攻 击 不 可 链接 怕 Y N Y 
段 设 M 是 恶意 用 户 , 试图 通过 不 断 发 送 已 经 完成 交易 的 签 消费 者 离线 支付 Y Y Y 


密 信息 给 S 来 进行 非法 交易 ， 但 因为 每 次 交易 所 使 用 的 公私 钥 
都 不 相同 ， 故 生成 的 签 密 信息 也 不 相同 ， 又 因为 上 一 次 交易 完 
成 的 签 密 信 息 依然 保存 在 $ 的 服务 器 上 , 一旦 $ 发 现 此 签 密 信 本 文采 用 文献 [4] 中 的 方法 对 各 方案 进行 效率 分 析 ， 根 据 文 


录用 稿 


MB 和 使 用 


的 ARM 处 理 器 ， 使 月 


献 [1.3,4] 的 实验 数据 可 以 得 到 表 3 中 的 不 同类 型 的 密码 操作 时 
间 开 销 ， 其 中 服务 器 端的 时 间 玫 
库 上 的 , 服务 器 端 搭配 了 一 个 PIV3 GHz 的 处 理 器 、 内存 为 512 
Windows XP 操作 系统 ,客户 端 搭配 了 一 个 206 MHz 
有 日 Linux 操作 系统 ， 在 其 上 的 各 个 密码 操 


F 销 是 建立 在 MIRACLE0g 密 码 


作 时 间 开 销 是 通过 以 下 等 式 进行 估算 的 : fj = 六 x30001206 (元 


表示 客户 端的 估计 时 间 ，1 表示 服务 器 端的 密码 操作 时 间 )。 
二 3 不 同类 型 密码 操作 时 间 开 销 /ms 

密码 操作 类 型 民 务 器 端 客户 端 

双 线 性 对 示 量 积 6.38 92.91 

椭圆 曲线 示 量 积 2.21 32.18 

双 线 性 对 运算 20.04 291.84 

双 线 性 对 上 的 时 运算 10.64 154.95 
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根据 表 3 中 各 个 密码 操作 时 间 ] 
成 签名 到 完成 身份 认证 整个 过 程 
性 对 运算 、2 次 双 线 性 对 上 的 标量 
窜 运 算 ， 而 服务 器 


对 上 的 早 运 算 ， 


客户 端 需要 执行 5 次 相 
运算 ， 而 服务 器 
次 双 线性 对 运算 , 因此 总 的 时 间 开 销 为 477.2 ms; 在 本 方案 里 ， 
上 对 进行 ， 因 此 客户 端 花费 的 
曲线 上 的 标量 积 运算 ， 而 服务 器 端 可 以 同时 对 
消费 者 和 商户 的 签名 进行 认证 ， 所 以 服务 器 端的 时 间 开 销 为 3 
时 积 运算 ， 因 此 ， 总 的 时 间 开 销 为 103.17 毫 


时 间 为 3 次 李 


次 椭圆 


因为 消费 者 和 商 


成 签名 可 以 同 


局 


线 上 的 书 


秒 。 整 个 身份 认 训 


5 所 示 。 


骨 需 要 执行 2 次 双 线 性 对 运算 和 1 次 双 线 性 
此 总 的 时 间 开 销 为 838.28 ms; 在 文献 [2] 里 ， 
线 上 的 标量 积 运 算 和 1 次 双 线 性 对 


天 


于 销 可 知 ， 在 文献 []] 晤 
Ph， 客户 端 需 要 执行 1 次 双 线 


执行 2 次 椭圆 


， 生 


[ue 


积 运 算 和 2 次 双 线性 对 上 的 


线 上 的 标量 积 运算 和 1 


E 的 过 程 需要 在 各 个 密码 操作 花费 的 时 间 如 图 


E 对 上 的 标量 积 


> 


图 5 密码 操作 时 间 开销 (以 ms 为 单位 ) 
文献 [1,2] 和 本 方案 整个 身份 认证 过 程 所 需 时 间 开 销 如 表 4 
所 示 。 
表 4 时 间 开 销 /ms 
方案 时 间 开 销 
文献 [1] 838.28 
文献 [2] 477.20 
本 方案 103.17 
根据 表 4 可 知 本 方案 从 生成 签名 到 完成 身份 认证 所 需要 的 


时 间 开 和 销 比 文献 [1] 快 了 约 87.69%， 比 文献 [2] 快 了 约 78.38%， 


因此 本 方案 效率 更 快 ， 实 用 性 更 强 。 


柳 裔 ， 等 : 一 种 基于 无 证 书签 密 技术 的 NFC 移动 支付 方案 


结束 语 


本 文 结合 无 证 书签 密 技术 和 匿名 技术 提出 了 一 个 安全 高 效 


的 NFC 移动 支付 方案 ， 消 费 者 部 分 私 钥 与 其 PIN 码 结合 加 密 


存储 在 移动 终端 中 ， 增 强 了 部 分 私 钥 防 泄露 属性 ; 


a 
十 


消费 者 与 移 


动 支 付 服务 提供 商 进行 通信 使 用 的 是 可 信 第 三 方 匿名 生成 中 心 


分 发 的 匿名 账户 ， 


实现 了 消费 者 通信 匿名 ;消费 者 与 商户 进行 


通 
账 


言 使 用 的 是 移动 支付 服务 提供 商 分 发 的 匿名 交易 账户 ， 且 该 


户 每 次 交易 完 后 会 得 到 更 新 ， 实 现 了 匿名 通信 的 同时 也 提供 


了 交易 的 不 可 链接 性 ， 提 高 了 消费 者 隐私 安全 ， 消 费 者 每 次 交 


易 都 会 使 用 新 生成 的 私 钥 进行 签名 ， 实 现 一 次 一 密 ， 提 高 了 身 
份 认证 的 安全 性 ， 且 具有 抗 重 放 攻击 属性 ;消费 者 与 移动 支付 
服务 提供 商 的 信息 交换 是 通过 商户 转发 的 ， 实 现 了 消费 者 离线 
支付 ， 扩 大 了 交易 场所 的 范围 。 分 析 结 果 表 明 ， 该 方案 提高 J 
NFC 移动 支付 安全 性 的 同时 很 好 的 保护 了 消费 者 个 人 隐私 , 且 
提高 了 支付 效率 ， 是 一 种 安全 高 效 的 移动 支付 方案 。 
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